«Инфосистемы Джет» представила стратегический обзор киберугроз, согласно которому в 2025 году акцент злоумышленников сместился с дефейсов, хищения данных и DDoS-атак на полное уничтожение инфраструктуры с целью вымогательства в случае вирусов-шифровальщиков или полной остановки деятельности без возможности восстановления в случае вайперов. Так, 76% критических кибератак были направлены на уничтожение инфраструктуры.
Резонансные атаки на крупнейшие российские компании в 2025 году обнажили хрупкость даже самых зрелых ИТ-архитектур. Одним из ключевых векторов проникновения стало использование скомпрометированных подрядчиков: сторонние организации, имеющие доступ к корпоративной инфраструктуре, становились «тихим» входом для злоумышленников. Параллельно атакующие активно применяли техники Living-off-the-Land (LOTL) — легитимные системные утилиты для мимикрии под обычную административную активность, а также инструменты с поддержкой искусственного интеллекта.
Финансовый сектор, ИТ и рынок недвижимости возглавили рейтинг наиболее атакуемых сфер. При этом ключевые причины взломов остаются «классическими»: фишинг, взломы через подрядчиков, уязвимости в общедоступных веб-приложениях, отсутствие многофакторной аутентификации на внешних интерфейсах и слабая гигиена доступа. 65% атак на веб-приложения связаны всего с тремя компонентами: OpenSSH, Nginx и Apache HTTP Server. Аудиты внешнего периметра выявили, что 83% компаний оставляют открытыми административные интерфейсы, а в 19% из них до сих пор используются учетные данные по умолчанию, что дает злоумышленникам потенциальный полный контроль над инфраструктурой без необходимости взлома. Массовым явлением остаются и DDoS-атаки: в пиковые дни за сутки атакам подвергались до 8 532 хостов, а общее число уникальных атакованных целей за год превысило 483,9 тысячи.
Киберпреступники стали действовать основательнее и тщательнее готовиться к атакам. Так у 40% фишинговых доменов выявлены MX-записи: злоумышленники вкладывают ресурсы в создание долгосрочной почтовой инфраструктуры, повышающей «легитимность» их кампаний и снижающей вероятность блокировки.
Перед лицом этих вызовов российский бизнес меняет подход к кибербезопасности. Вместо пятилетних планов CISO выбирают гибкие циклы на 1–2 года, а вместо надежды на «непробиваемую» защиту смещают фокус на антихрупкую инфраструктуру, способную восстанавливаться и становиться сильнее после каждой атаки. Спрос на независимые аудиты систем резервного копирования вырос вдвое, а 74% крупных компаний внедрили регулярные тестовые восстановления данных в изолированных средах. Растет применение объектных хранилищ с поддержкой неизменяемости данных — их использование также удвоилось за год.
Особое внимание уделяется киберучениям: они становятся не просто формальным упражнением, а адаптируются под реальную ИТ-инфраструктуру и бизнес-процессы компании. Особенно высок интерес к таким тренировкам в финансовом секторе, госструктурах и промышленных предприятиях. Также растет популярность table-top-учений — обсуждения сценариев кризисного реагирования «за столом» с участием ИБ-команд, топ-менеджмента и юристов. Эта практика позволяет быстро выявить пробелы в планах, уточнить зоны ответственности и отработать принятие решений в условиях неопределенности и без остановки производства.
Автор: CSIRT
